از /

شکار اطلاعات در اکتیو دایرکتوری!

کلیدِ دروازه‌های نامرئی شبکه تو دستاته!

GC enum

🕵️‍♀️ خب رفقا، امروز می‌خوایم بریم سراغ یکی از اون پورت‌های خاص و کمتر شناخته شده تو دنیای Active Directory که اگه بتونید ازش اطلاعات بکشید بیرون، عملاً نقشه کل شبکه (و حتی دامنه‌های دیگه) رو به دست آوردید. داریم در مورد پورت ۳۲۶۸ یا همون Global Catalog (GC) صحبت می‌کنیم.

🔖شاید بپرسید این GC اصلا چی هست؟ ببینید، Global Catalog یه نسخه خلاصه شده و سریع از کل دیتابیس اکتیو دایرکتوریه. وظیفه‌اش اینه که وقتی شما یه چیزی رو سرچ می‌کنید (مثلا یه پرینتر یا یه کاربر)، لازم نباشه کل سرور رو زیر و رو کنه. این سرویس میاد اطلاعات حیاتی رو نگه می‌داره تا جستجوها سریع‌تر بشن، مخصوصاً تو محیط‌های بزرگ که چند تا دامنه (Multi-domain) دارن. حالا فکر کنید اگه یه هکر به این دیتابیس دسترسی پیدا کنه چی میشه؟ بله، به “همه چیز” دسترسی پیدا می‌کنه!

😈چرا Enumeration پورت ۳۲۶۸ اینقدر مهمه؟ (اهداف ماجرا)

وقتی ما میریم سراغ انامریت کردن Global Catalog، الکی وقتمون رو تلف نمی‌کنیم. اهداف خیلی مشخص و ارزشمندی داریم:

  1. شناسایی اطلاعات دایرکتوری: می‌خوایم بدونیم چه کاربرهایی، چه گروه‌هایی و چه کامپیوترهایی توی شبکه هستن. این اطلاعات پایه و اساس حملات بعدیه.
  2. پیدا کردن سرورهای کله‌گنده: می‌خوایم بفهمیم کدوم سرورها نقش Global Catalog رو دارن؛ چون این سرورها معمولاً مهم‌تر و پر از اطلاعات‌تر هستن.
  3. جاسوسی در دامنه‌های دیگر: از اونجایی که GC اطلاعات اشیاء دامنه‌های مختلف رو داره، اگه تو یه شبکه با ساختار Forest (جنگل) باشید، می‌تونید اطلاعات دامنه‌های دیگه رو هم ببینید، نه فقط دامنه‌ای که توش هستید!
  4. شکار کانفیگ‌های اشتباه: اگه ادمین شبکه حواسش نبوده باشه و دسترسی‌ها رو باز گذاشته باشه، ما می‌تونیم به داده‌های حساس دسترسی پیدا کنیم.

😈جعبه ابزار هکرها: ابزارها و روش‌های Enumeration

خب، دست به آچار بشیم. با چه ابزارهایی می‌تونیم بریم سراغ پورت ۳۲۶۸؟ اینجا لیست کاملش با دستورات دقیق رو براتون آوردم.

۱. Nmap: اولین قدم شناسایی

مثل همیشه، Nmap رفیق روزهای سخت ماست. با این ابزار چک می‌کنیم ببینیم اصلا پورت ۳۲۶۸ بازه و سرویس پشتش چیه.

دستور اسکن پورت:

nmap -p 3268 -sV target-IP

این دستور میگه: “آهای Nmap، برو فقط پورت ۳۲۶۸ رو چک کن (-p) و اگه باز بود، ببین دقیقاً چه سرویس و نسخه‌ای روش نصبه (-sV).”

۲. ldapsearch: جستجوی تخصصی

از اونجایی که Global Catalog در واقع روی پروتکل LDAP سوار شده، ابزار ldapsearch خوراک این کاره.

دستور استخراج اطلاعات:

ldapsearch -h <target-IP> -p 3268 -x -b <Base-DN>(objectClass=*)

تحلیل دستور:

  • h target-IP-: آدرس سرور هدف رو میدیم.
  • p 3268-: می‌گیم برو سراغ پورت GC.
  • x-: احراز هویت ساده (Simple Authentication).
  • b Base-DN-: نقطه شروع جستجو (مثلاً dc=example,dc=com).
  • "(objectClass=*)": یعنی “همه چیز” رو برام پیدا کن!

۳. rpcclient: تعامل مستقیم

اگه سرویس RPC روی سرور فعال باشه، می‌تونیم با rpcclient وصل بشیم و درخواست اطلاعات بدیم.

دستور اتصال:

rpcclient -U  target-IP

اینجا U یعنی سعی کن بدون نام کاربری (Null Session) وصل بشی. اگه وصل شد، می‌تونید دستورات داخلیش رو بزنید تا لیست یوزرها و گروه‌ها رو بگیرید.

۴. CrackMapExec: 

این ابزار عالیه برای تست نفوذ شبکه‌های اکتیو دایرکتوری. خیلی شیک و مجلسی می‌تونه پورت ۳۲۶۸ رو انامریت کنه.

دستور انامریت:

crackmapexec ldap <target-IP> -u <username> -p <password> –port 3268

اگه یوزر و پسورد (حتی سطح پایین) دارید، این دستور اطلاعات خیلی خوبی بهتون میده.

۵. Metasploit: فریم‌ورک همه‌کاره

متاسپلویت هم که دیگه نیاز به معرفی نداره. یه ماژول مخصوص برای این کار داره.

دستورات اجرا در کنسول msf:

use auxiliary/gather/ldap_enum
set RHOSTS <target-IP>
set RPORT 3268
run

این ماژول خودش وصل میشه و سعی می‌کنه اطلاعات LDAP رو بکشه بیرون.

۶. BloodHound: شکارچی مسیرهای حمله

بلادهاوند (BloodHound) یه ابزار گرافیکی و خفنه. این ابزار از دیتایی که SharpHound جمع کرده استفاده می‌کنه تا نقشه‌ی کل شبکه رو بکشه. با این ابزار می‌تونید بفهمید کوتاه‌ترین مسیر برای رسیدن به Domain Admin چیه و چه رابطه‌ای بین یوزرها و گروه‌ها وجود داره. عملاً بهترین ابزار برای تحلیل ساختار AD هست.

😈نقشه راه: مراحل گام‌به‌گام Enumerate

اگه بخوایم منظم کار کنیم، مسیر به این صورته:

  1. شناسایی پورت: اول ببینیم در بازه یا نه؟

nmap -p 3268 target-IP

  • شناسایی سرورهای GC: حالا که پورت بازه، با ldapsearch یا rpcclient ببینیم این سرور واقعا Global Catalog هست و چه اطلاعاتی میده.
  • جمع‌آوری دیتای دایرکتوری: با متاسپلویت یا ldapsearch تمام اشیاء (کاربرها، کامپیوترها و…) رو لیست می‌کنیم. اینجاست که دیتابیس اطلاعاتمون پر میشه.
  • تحلیل نهایی (The Big Picture): دیتای جمع شده رو میدیم به BloodHound تا گراف شبکه رو ببینیم و مسیرهای حمله رو پیدا کنیم.

😈خطرات و ریسک‌ها (چرا باید بترسیم؟)

اگه یکی بتونه روی پورت ۳۲۶۸ انامریت انجام بده، چه اتفاقی می‌افته؟

  • دسترسی غیرمجاز: هکر به لیست کامل یوزرها و گروه‌ها دسترسی پیدا می‌کنه.
  • هدف‌گیری دقیق: هکر می‌تونه با جستجو در GC، یوزرهای مهم (مثلا مدیران مالی) رو تو دامنه‌های مختلف پیدا کنه و برای حملات بعدی (مثل Brute Force یا فیشینگ) آماده بشه.
  • افزایش سطح دسترسی (Privilege Escalation): با اطلاعاتی که از ساختار شبکه به دست میاد، هکر می‌تونه بفهمه کجاها ضعف امنیتی داره و دسترسی خودش رو از یوزر عادی به ادمین ارتقا بده.

دیوار دفاعی: چطور امن بمانیم؟ (اقدامات دفاعی)

خب حالا راه حل چیه؟ چطور جلوی این داستان رو بگیریم؟

  1. محدود کردن دسترسی: پورت ۳۲۶۸ رو به روی همه باز نذارید! فقط سرورها و ادمین‌هایی که لازم دارن باید به این پورت دسترسی داشته باشن (فایروال رو سفت و سخت بگیرید).
  2. رمزنگاری ترافیک (TLS): نذارید اطلاعات به صورت متن ساده (Plain Text) رد و بدل بشه. حتما LDAP و Global Catalog رو مجبور کنید از TLS استفاده کنن (LDAPS).
  3. مانیتورینگ و لاگ‌گیری: حواستون به لاگ‌های AD باشه. اگه دیدید یه IP داره تند تند درخواست‌های عجیب LDAP میفرسته، سریع بررسیش کنید.
  4. احراز هویت قوی: اجازه ندید کسی بدون احراز هویت (Anonymous) یا با پسورد ضعیف به دایرکتوری وصل بشه.

دیدگاه‌ خود را بنویسید

پیمایش به بالا